Zwei Monate vor Einführung des neuen Personalausweises sind Zweifel an der Sicherheit laut geworden. Für Betrüger soll es nach einem Bericht des ARD-Magazins „Plusminus“ problemlos möglich sein, sensible Daten abzufangen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies dies zurück.
Der künftige Personalausweis speichert die Daten zusätzlich auf einem Chip. Die verschlüsselten Informationen können über eine Nahfunk-Technik versendet und bei Online-Transaktionen genutzt werden. Die „Plusminus“-Redaktion hat zusammen mit dem Chaos Computer Club (CCC) Testversionen der Basis-Lesegeräte für den Ausweis geprüft. Dazu gehöre auch die geheime sechsstellige PIN-Nummer.
Der Datenschutzverein FoeBuD sieht sich durch die Erkenntnisse des ARD-Magazins in seinen Vorbehalten gegen den neuen Ausweis bestätigt. Der Vorsitzende des Vereins padeluun betonte in einem Gespräch mit unserer Zeitung: „Wir haben von Anfang an gesagt, dass der Ausweis mit dem notwendigen Equipment am eigenen Rechner nicht sicher ist.“ Noch mehr beunruhige ihn aber die Tatsache, dass das neue Dokument leicht fälschbar sei, so der Datenschützer weiter. „Damit legen Sie nicht nur jeden Rechner aufs Kreuz, sondern auch jeden Autoverkäufer, dem Sie den Ausweis vorlegen.“ Die größte Schwachstelle des Ausweises ist aber laut padeluun der RFID-Funkchip, da aus ihm Daten leicht herauszulesen seien. Er könne nur jedem empfehlen, sich, solange das möglich ist, noch einen Ausweis alter Machart zu besorgen, riet der Datenschutzaktivist: „Der kostet dann auch nur 9 Euro statt fast 30 Euro, die man für den Neuen auf den Tisch legen muss.“ Der künftige Personalausweis soll zum 1. November eingeführt werden.
„Der Personalausweis ist sicher“, sagte dagegen der Personalausweisexperte beim BSI, Jens Bender. Die Verbindung von integriertem Chip und zusätzlicher PIN-Abfrage sei bei Online-Transaktionen „ein deutlicher Sicherheitsgewinn gegenüber dem heute üblichen Verfahren von Username und Passwort“. Denkbar sei zwar einklassischer Trojaner-Angriff, bei dem etwa mit einem „Keylogger“ die Tastatureingabe der sechsstelligen PIN mitgeschnitten werden könne. „Damit habe ich aber noch keinerlei Zugriff auf die persönlichen Daten“, sagte Bender. Diese würden nur verschlüsselt übertragen. „Auch als Angreifer komme ich nicht an die Daten heran“.Die Sicherheitsabfrage der Personalausweis-PIN erfolgt bei einfachen Lesegeräten über die PC-Tastatur. Ein solcher „Basisleser“ sei für die Online-Authentifizierung in Ordnung, sagte Bender. Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer für die Abwicklung von Internet-Geschäften zu nutzen. Eine zusätzliche Sicherheit biete ein sogenanntes PIN-Pad mit integrierter Zifferneingabe. Man müsse natürlich auch dafür sorgen, dass der PC sauber bleibe, sagte der BSI-Experte und verwies auf regelmäßige Updates der Software, die Einrichtung einer Firewall und einen aktuellen Virenschutz.
Neue Osnabrücker Zeitung, Osnabrück, 24. August 2010
Original: http://www.noz.de/artikel/47215405/sensible-daten-abgefangen